Здравствуйте, Maxim. У того же яндекса, видно что есть свой порядок https://www.ssllabs.com/ssltest/analyze.html?d=m.market.yandex.ru&s=87.250.250.22&latest
для SSL3 у них TLS_ECDHE_RSA_WITH_RC4_128_SHA TLS_RSA_WITH_RC4_128_SHA для для других протоколов другие совсем шифры. Вот цитата сотрудников яндекса "Наконец, для несчастных с Internet Explorer 6 на XP мы сохраняем шифры RC4 — других вариантов на этой платформе просто нет. При этом мы осознаем вероятность того, что этот шифр уязвим, поэтому доступен он только в случае хендшейка по протоколу SSLv3. Если клиент подключается с более современным протоколом — TLS 1.0, TLS 1.1 или TLS 1.2 — ciphersuite на основе RC4 не предлагается." Очень хотелось бы сделать похожее, но как ? В nginx+ есть такая возможность? и 28 марта 2018 г., 15:58:03: > Hello! > On Wed, Mar 28, 2018 at 03:38:57AM +0300, Дугин Сергей wrote: >> Хотел бы сделать такие правила для SSL: >> >> ssl_session_cache shared:TLS:10m; >> ssl_session_timeout 10m; >> ssl_stapling on; >> ssl_stapling_verify on; >> resolver 127.0.0.1; >> ssl_prefer_server_ciphers on; >> ssl_protocols SSLv3 TLSv1 TLSv1.1 TLSv1.2; >> >> if ($ssl_protocol ~* 'TLSv1.2') >> { >> ssl_ciphers >> ECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-RSA-AES256-SHA384:RC4-MD5:AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-RSA-AES128-SHA; >> } >> if ($ssl_protocol ~* 'TLSv1.1') >> { >> ssl_ciphers >> ECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-RSA-AES256-SHA384:RC4-MD5:AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-RSA-AES128-SHA; >> } >> if ($ssl_protocol ~* 'TLSv1') >> { >> ssl_ciphers >> ECDHE-RSA-AES256-SHA:RC4-MD5:AES128-SHA:DHE-RSA-AES256-SHA:AES256-SHA:DES-CBC3-SHA:RC4-SHA:ECDHE-RSA-AES128-SHA:DHE-RSA-AES128-SHA; >> } >> if ($ssl_protocol ~* 'SSLv3') >> { >> ssl_ciphers ECDHE-RSA-AES256-SHA:RC4-MD5:AES256-SHA:AES128-SHA:RC4-SHA; >> } >> >> Основная мысль на свой протокол выдавать свой список шифров, но >> ssl_ciphers нельзя использовать в if условии получаю такую ошибку: >> >> nginx: [emerg] "ssl_ciphers" directive is not allowed here in >> /etc/nginx/nginx.conf:77 >> >> Подскажите как можно сделать свой порядок шифров на свой протокол? > Никак. -- С уважением, Дугин Сергей mailto:d...@qwarta.ru QWARTA _______________________________________________ nginx-ru mailing list nginx-ru@nginx.org http://mailman.nginx.org/mailman/listinfo/nginx-ru